Microsoft Purview 資訊保護用戶端會將敏感度標籤延伸至 Microsoft 365 應用程式和服務內建的標籤之外,並支援更廣泛的檔案類型。
此用戶端僅在 Windows 上執行,並取代 Azure 資訊保護 (AIP) 統一標籤用戶端。 它有下列元件:
| 元件 | 描述 |
|---|---|
| 資訊保護掃描器 | 用來探索、標記和加密資料存放區上的檔案,例如網路共用和 SharePoint Server 文件庫。 |
| 資訊保護檔案標籤器 | 用來使用檔案總管套用敏感度標籤和加密。 |
| 資訊保護檢視器 | 用來檢視加密的檔案。 |
| Microsoft Purview 資訊保護 PowerShell 模組 | 用來調整檔案的敏感度標籤,以及安裝和設定 Microsoft Purview 資訊保護 掃描器。 |
Microsoft Purview 資訊保護用戶端沒有 Office 增益集,因為這項功能會取代為內建於 Office 中的敏感度標籤。
如需每個用戶端版本的最新版本資訊和支援時間表,請參閱 Microsoft Purview 資訊保護用戶端 - 發行管理和可支援性。
部署資訊保護用戶端的需求
若要使用 Microsoft Purview 資訊保護用戶端,請在您想要使用用戶端元件的 Windows 電腦上安裝此用戶端。
您還必須滿足以下要求:
下列作業系統支援 Microsoft Purview 資訊保護用戶端:
- Windows 11,包括 Windows 11 企業版多會話
- Windows 10 (x64) (Windows 10 RS4 版本及更高版本不支援手寫)
- Windows Server 2019
- Windows Server 2016
檢視器和檔案標記程式支援 ARM64,但掃描器或 PowerShell 不支援。
安裝或升級資訊保護用戶端
如果您以互動方式安裝 Microsoft Purview 資訊用戶端,且偵測到 Azure 資訊保護 (AIP) 統一標籤用戶端,您可以在確認 Office 的 AIP 增益集將會移除之後升級舊版用戶端。
注意事項
如果本機電腦上存在任何 Azure 資訊資訊保護用戶端版本,則使用 Microsoft Update 目錄或任何其他非互動式安裝進行升級需要登錄機碼設定。
安裝資訊保護用戶端有兩個選項:
- 使用 .exe 安裝程式安裝資訊保護用戶端
- 使用 .msi 安裝程式安裝資訊保護用戶端
如果您要從 Azure 資訊保護 (AIP) 統一標籤用戶端或舊版的資訊保護用戶端升級資訊保護掃描器,請參閱升級Microsoft Purview 資訊保護掃描器,再使用這些用戶端安裝指示。
若要使用 .exe 檔案安裝資訊保護用戶端:
從 Microsoft 下載中心下載 Microsoft Purview 資訊保護 用戶端的可執行檔版本。 例如, PurviewInfoProtection.exe。
重要事項
如果有可用的預覽版本,請僅將該版本用於測試。 它不適用於生產環境中的一般使用者。
對於預設安裝,只需執行可執行檔即可。 若要檢視所有安裝選項,請先使用 /help 執行可執行檔。 例如:
PurviewInfoProtection.exe **/help**- 若要以無訊息方式安裝用戶端,請執行:
PurviewInfoProtection.exe /quiet - 若要只以無訊息方式安裝 PowerShell Cmdlet,請執行:
PurviewInfoProtection.exe PowerShellOnly=true /quiet
注意事項
根據預設,會啟用將使用量統計資料傳送至 Microsoft 的選項。 若要停用此選項,請務必執行下列其中一個步驟:
- 在安裝期間,請指定 AllowTelemetry=0
- 安裝之後,請更新登錄機碼,如下所示: EnableTelemetry=0。
- 若要以無訊息方式安裝用戶端,請執行:
若要完成安裝,請重新啟動檔案總管的任何實例。
檢查安裝記錄檔,以確認安裝成功,該檔案預設是在 %temp% 資料夾中建立的。
安裝記錄檔具有下列命名格式:
Microsoft_Azure_Information_Protection_<number>_<number>_MSIP.Setup.Main.msi.log例如: Microsoft_Azure_Information_Protection_20161201093652_000_MSIP.Setup.Main.msi.log
在記錄檔中,搜尋下列字串:產品:Microsoft Purview 資訊保護--安裝已成功完成。 如果安裝失敗,此日誌檔會包含詳細資料,以協助您識別及解決任何問題。
提示
您可以使用 /log 安裝參數來變更安裝日誌檔的位置。
記錄檔位置
用戶端和掃描器記錄檔位於 Windows 電腦上的下列位置:
- \ProgramFiles (x86) \Microsoft Purview 資訊保護 僅 (64 位元作業系統)
- \Program Files\Microsoft Purview 資訊保護 (32 位元作業系統僅)
- %localappdata%\Microsoft\MSIP
支援的語言
資訊保護用戶端支援 Office 365 支援的相同語言。 如需這些語言的清單,請參閱 Office 的 [國際可用性 ] 頁面。
針對這些語言,功能表選項、對話方塊和來自 Microsoft Purview 資訊保護用戶端的訊息會以使用者的語言顯示。 有一個單一安裝程式會偵測語言,因此不需要額外的設定即可安裝不同語言的資訊保護用戶端。
不過,當您在系統管理入口網站中設定標籤時,您指定的標籤名稱和描述不會自動翻譯。 若要讓使用者以慣用語言查看標籤,請提供您自己的翻譯,並使用 PowerShell 和 Set-Label 的 LocaleSettings 參數來設定標籤。 如需詳細資訊,請參閱 設定不同語言敏感度標籤的範例設定。
支援的檔案類型
本節列出 Microsoft Purview 資訊保護用戶端所支援的檔案類型。 針對列出的檔案類型,不支援 WebDav 位置。
提示
當您加密沒有內建加密支援的檔案類型,因此使用一般加密時,建議您將共同擁有者的權限指派給這些檔案。
下列檔案類型可以在不加密的情況下進行標記。
Adobe 可攜式文件格式: .pdf
Microsoft專案: .mpp、.mpt
Microsoft 發行商: .pub
Microsoft XPS: .xps .oxps
圖片: .jpg、.jpe、.jpeg、.jif、.jfif、.jfi。 PNG、.tif、.tiff
Autodesk Design Review 2013: .dwfx 域名
Adobe Photoshop: .psd
數位負片: .dng
Microsoft Office的:下列檔案類型,包括 97-2003 檔案格式,以及 Word、Excel 和 PowerPoint 的 Office Open XML 格式。
Word Excel PowerPoint Visio .doc .xls .potm 域名 .vdw 域名 .docm .xlsb 域名 .potx 域名 .vsd 域名 .docx .xlst 域名 .pps .vsdm 域名 .dot .xlsm 域名 .ppsm 域名 .vsdx .doctm 域名 .xlsx .ppsx 域名 .vss 域名 .dotx 域名 .xltm 域名 .ppt .vssm 域名 .xltx 域名 .pptx .vst 域名 .vstm 域名 .vssx 域名 .vstx 域名
排除的資料夾和檔案類型
為了協助防止使用者變更對電腦作業至關重要的檔案,某些檔案類型和資料夾會自動從分類和標籤中排除。 如果使用者嘗試使用資訊保護用戶端來標記這些檔案,他們會看到排除這些檔案的訊息。
下列資料夾會從資訊保護用戶端的分類和標籤中排除:
- Windows
- 程式檔案 (\Program Files 和 \Program Files (x86) )
- \程式資料
- \AppData (適用於所有使用者)
預設無法加密的檔案類型
用戶端無法原生加密任何受密碼保護的檔案,除非檔案目前在套用加密的應用程式中開啟。 您最常看到受密碼保護的 PDF 文件,但其他應用程式(例如 Office 應用程式)也提供此功能。
支援檢查的檔案類型
資訊保護用戶端會使用 Windows IFilter 來檢查檔的內容。 Windows 搜尋使用 Windows IFilter 進行索引。 因此,當您使用 Set-FileLabel -Autolabel PowerShell 命令時,可以檢查下列檔案類型。
| 應用類型 | 檔案類型 |
|---|---|
| Word | .doc、.docx、.docm、.dot、.dotx |
| Excel | .xls、.xlt、.xlsx、.xlsm、.xlsb |
| PowerPoint | .ppt、.pps、.pot .pptx |
| Text | .txt、.xml、.csv |
掃描 .ZIP 檔案
您可以使用資訊保護掃描器或 Set-FileLabel PowerShell 命令來檢查 .zip 檔案。
注意事項
當您的資訊保護掃描器安裝在 Windows 伺服器電腦上時,您也必須安裝 Microsoft Office iFilter,才能掃描 .zip 檔案中的敏感性資訊類型。 如需詳細資訊,請參閱 Microsoft 下載網站。
尋找敏感性資訊之後,如果應該使用標籤來標記和加密 .zip 檔案,請從掃描器部署指示中,使用 PowerShell PFileSupportedExtensions 進階設定指定副檔名 .zip。
範例案例:
名為 accounts.zip 的檔案包含帶有信用卡號的 Excel 試算表。 您有一個名為 Confidential \ Finance 的敏感度標籤,其設定為探索信用卡號碼,並自動套用具有加密的標籤,以限制對 Finance 群組的存取。
檢查檔案之後,PowerShell 工作階段的用戶端會將此檔案標示為 Confidential \ Finance。 接下來,用戶端會將一般加密套用至檔案,以便只有 Finance 群組的成員才能解壓縮檔案,並將檔案重新命名 為accounts.zip.pfile。
與端點資料外洩防護整合
端點資料外洩防護 (DLP) 為 裝置上的所有檔案設定進階標籤型保護 ,可提高標記和加密 Office 和 PDF 檔案類型以外的檔案類型的使用者的工作效率。
針對這些檔案,雖然 DLP 會在套用標籤時強制執行加密設定的存取和任何使用限制,但當檔案離開電腦時,會套用加密。 因此,本機檔案的副檔名不會變更,使用者可以繼續在其標準應用程式中檢視和編輯檔案。
如需詳細資訊,請參閱 瞭解 Advanced Label Based Protection。
支援中斷連線的電腦
根據預設,資訊保護用戶端會自動嘗試連線到因特網,以從 Microsoft Purview 下載敏感度標籤和敏感度標籤原則設定。
如果您的電腦在一段時間內無法連線到因特網,您可以匯出和複製手動管理資訊保護用戶端原則的檔案。
若要支援與資訊保護用戶端中斷連線的電腦:
在 Microsoft Entra ID 中選擇或建立使用者帳戶,以下載您想要在中斷連線的電腦上使用的標籤和原則設定。
作為此帳戶的其他標籤原則設定,請使用 EnableAudit PowerShell 進階設定搭配安全性 & 合規性 PowerShell 的 Set-LabelPolicy ,關閉將稽核資料傳送至 Microsoft Purview。
我們建議您執行此步驟,因為如果中斷連線的電腦確實有定期因特網連線,它會將記錄資訊傳送至 Microsoft Purview,其中包含步驟 1 中的使用者名稱。 該使用者帳戶可能與您在中斷連線的電腦上使用的本機帳戶不同。
從具有因特網連線的電腦,如果電腦已安裝資訊保護用戶端,並使用步驟 1 中的使用者帳戶登入,下載標籤和原則設定。
從此電腦匯出記錄檔。
例如,執行 Export-DebugLogs Cmdlet,或從檔案標籤工具使用用戶端 [說明和意見反應] 對話方塊中的 [匯出記錄] 選項。
日誌檔會匯出為單一壓縮檔。
開啟壓縮檔案,然後從 MSIP 資料夾複製副檔名為 .xml 的任何檔案。
將這些檔案貼到中斷連線電腦上的 %localappdata%\Microsoft\MSIP 資料夾中。
如果您選擇的使用者帳戶通常是連線到因特網的帳戶,請將 EnableAudit 值設定為 True,以再次啟用傳送稽核資料。
請注意,如果此電腦上的使用者從檔案標籤程式中的 [說明和意見反應] 選取 [重設設定] 選項,則此動作會刪除原則檔案,並讓用戶端無法運作,直到您手動取代檔案或用戶端連線到網際網路,以便下載所需的檔案為止。
如果您中斷連線的電腦正在執行資訊保護掃描器,則必須採取其他設定步驟。 如需相關資訊,請參閱限制: 掃描器伺服器無法從掃描器部署指示進行網際網路連線。
支援的自訂
資訊保護用戶端支援 PowerShell 進階設定,以及特定案例或使用者可能需要的一些登錄設定。
如需 New-Label 或 Set-Label 支援的 PowerShell 進階設定,以及安全性 & 合規性 PowerShell 中的 New-LabelPolicy 或 Set-LabelPolicy,請參閱 Microsoft Purview 資訊保護 用戶端的進階設定。
使用下列各節來協助您設定登錄以取得支援的自訂。
從 Azure 資訊保護 用戶端啟用非互動式升級
如果您安裝 Microsoft Purview 資訊保護用戶端,且偵測到 Azure 資訊保護統一標籤用戶端,用戶端的互動式安裝需要您確認將會移除舊用戶端的 Office AIP 增益集。
若要針對用戶端使用非互動式安裝,例如 Microsoft Update 目錄、群組原則或腳本,您必須先解除安裝 Azure 資訊保護用戶端,或為本機電腦建立並設定下列登錄機碼:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\AllowMajorVersionUpgrade (DWORD)
將值設定為 1,以無訊息方式允許升級並解除安裝 AIP Office 增益集;如果已安裝 Azure 資訊保護用戶端,則 0 會封鎖升級。
變更本機記錄層級
根據預設,Purview 資訊保護用戶端會將用戶端記錄檔寫入 %localappdata%\Microsoft\MSIP 資料夾。 這些檔案旨在供 Microsoft 支援服務進行疑難排解。
若要變更這些檔案的記錄層級,請在登錄中找到下列值名稱,並將值資料設定為所需的記錄層級:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\LogLevel
將記錄層級設定為下列其中一個值:
關閉:沒有本機記錄。
錯誤:僅限錯誤。
警告:錯誤和警告。
資訊:最低記錄,不包含事件標識碼 (掃描器) 的預設設定。
偵錯:完整資訊。
追蹤:詳細記錄 (用戶端) 的預設設定。
此登錄設定不會變更傳送至 Microsoft Purview 稽核的資訊。
啟用資料界限設定
根據 Microsoft 對歐盟數據界限的承諾,使用 Microsoft Purview 資訊保護用戶端的歐盟客戶可以將其數據傳送至歐盟以儲存和處理。
變更下列指定傳送事件位置的登錄機碼,在資訊保護用戶端中開啟此功能:
- 登錄機碼: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\DataBoundary (DWORD)
- 值
Default = 0North_America = 1European_Union = 2
啟用系統預設瀏覽器進行驗證
使用系統預設瀏覽器在 Microsoft Purview 資訊保護用戶端中進行驗證。 根據預設,資訊保護用戶端會開啟 Microsoft Edge 進行驗證。
啟用下列登錄機碼,在資訊保護用戶端中開啟此功能:
- 登錄機碼: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\MSALUseSytemDefaultBrowserAuth (DWORD)
- 值
Disabled = 0Enabled = 1
隱藏檔案總管中的 [使用 Microsoft Purview 套用敏感度標籤] 功能表選項
若要隱藏檔案總管中的 [使用 Microsoft Purview 以滑鼠右鍵按兩下功能表套用敏感度標籤] 選項,請建立下列 DWORD 登錄機碼,其值名稱為 LegacyDisable 和任何值資料:
HKEY_CLASSES_ROOT\AllFilesystemObjects\shell\Microsoft.Azip.RightClick
如何使用資訊保護用戶端套用敏感度標籤
安裝 Microsoft Purview 資訊保護 用戶端之後,您可以使用下列方式套用您已建立和發佈的敏感度標籤:
資訊保護掃描器,安裝和設定之後
重要事項
如果您要從 Azure 資訊保護 (AIP) 統一標籤用戶端升級,請參閱從 Azure 資訊保護 用戶端升級掃描器 (2.x 版) 。
若要檢視加密檔,請參閱 使用 Microsoft Purview 資訊保護 檢視器檢視受保護的檔案。